Secondo quanto diffuso in rete dal gruppo di ricerca indipendente Matousec, sarebbe stato scoperto un nuovo metodo in grado di bypassare la protezione antivirus di tutti i più famosi software per la sicurezza.

Il tutto sarebbe basato su un proof-of-concept denominato KHOBE (Kernel Hook Bypassing Engine) che consiste nell’inviare porzioni di codice benigno che il software antivirus riterrebbe innocuo per poi sfruttare questo passaggio di dati al fine di sostituire rapidamente il codice benigno con del malware. In altre parole si utilizzerebbe il codice benigno come esca o cavallo di troia per poi inviare al suo posto del malware.

G Data ha esaminato il problema e ha scoperto che l’allarme è più fittizio che reale.

La risposta ricevuta non solo è stata anonima, ma ha presentato anche alcuni aspetti piuttosto strani:

• è stato genericamente detto che il software G Data presenteva solo “qualche” problema
• i dettagli tecnici sarebbero stati meglio descritti in un documento ancora in fase di ultimazione e che poi sarebbe stato messo in vendita
• è stato offerto il codice sorgente e un servizio di audit

Ad un’ulteriore richiesta sul prezzo del documento, sulle tempistiche della sua disponibilità e sul perché la risposta è anonima è stato poi risposto:

• il prezzo è a quattro cifre (quindi qualche migliaio di dollari), ma se tutte le aziende produttrici di antivirus avessero sottoscritto il documento, la cifra sommata sarebbe stata nell’ordine delle sei cifre
• qualcuno avrebbe fornito assistenza una volta pagato quanto richiesto

G Data tiene sempre in considerazione gli sforzi profusi per cercare e mettere in atto un nuovo attacco, ma considera innanzitutto esagerata la cifra richiesta.

In secondo luogo G Data si domanda perché tale informazione sia stata comunicata e diffusa in rete senza documentazione a sostegno.

Non si capisce, infine, perché ogni comunicazione debba sempre essere anonima.

Risulta dunque piuttosto strano che, in una situazione del genere, dopo che tale notizia è diventata di dominio pubblico, non venga rivelata l’identità dell’interlocutore e, inoltre, sia stata richiesto del denaro per informazioni e documenti non ancora disponibili.

Ciò nonostante G Data ha già risolto il problema nei suoi prodotti quindi KHOBE non rappresenta una minaccia.

Da un lato Matousec avrebbe dovuto rivelare la propria identità e usare un modo più responsabile per diffondere notizie riguardo nuovi attacchi. Dall’altro, chi ha ripreso e rilanciato la notizia in tutto il mondo avrebbe dovuto verificare e controllare la fonte prima di pubblicare notizie che possono essere interpretate e percepite come la fine di ogni software antivirus.